IPA/XOOPS 用モジュール「XooNIps」における複数の脆弱性
2020年8月28日
省庁・団体名
独立行政法人情報処理推進機構
内容
IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2020 年 8 月 27 日に「XOOPS 用モジュール『XooNIps』における複数の脆弱性」を、JVN(JapanVulnerability Notes)において公表しました。
◆概要
・理化学研究所 脳神経科学研究センター 統合計算脳科学連携部門 神経情報基盤開発ユニットが提供する「XooNIps」は、XOOPS 用モジュールです。
・「XooNIps」には、次の複数の脆弱性が存在します。
▽ SQL インジェクション - CVE-2020-5624
▽ クロスサイト・スクリプティング - CVE-2020-5625
・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
▽ 遠隔の第三者によって、データベース内の情報を取得されたり、改ざんされたりする - CVE-2020-5624
▽ 当該製品を使用しているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2020-5625
・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2020 年 7 月 29 日に IPA が製品開発者自身から届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください。
・XOOPS 用モジュール「XooNIps」における複数の脆弱性
※もしくは、https://jvn.jp/jp/ から「JVN#40725650」を参照
本件に関するお問合せ先
IPA セキュリティセンター
E-mail:vuln-inq@ipa.go.jp
一般社団法人JPCERTコーディネーションセンター
E-mail:vultures@jpcert.or.jp
※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。